整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
、概述
4月1日凌晨,火绒安全团队发出警报,部分“2345导航站”首页的弹窗广告携带盗号木马,该病毒会偷取QQ、游戏平台(steam、WeGame)、知名游戏(地下城与勇士、英雄联盟、穿越火线)的账号。这是一次设计精巧、组织周密的大规模盗号行动,利用周末时间突然发起攻击,主要目标是网吧游戏用户。
火绒工程师分析,部分“2345导航站”首页右下角会弹出弹窗广告(上图红色箭头所指),该广告页面一经弹出,即可自动下载病毒,无需用户点击。病毒下载链接自动激活后,首先访问跳板网站“yyakeq.cn”(存放跳板脚本以及flash漏洞),然后再从“ce56b.cn”网站下载病毒,而盗取的QQ、游戏等账号则被上传到“zouxian1.cn”网站。
该病毒利用IE浏览器漏洞和Flash漏洞进行传播,受影响Flash控件版本从21.0.0.180至31.0.0.160。所有使用360、搜狗等主流浏览器的用户,如果其Flash控件是以上版本,都会被感染。
该病毒整个传播链条及所涉相关企业、疑似团伙嫌疑人等信息,请阅读后附的详细分析报告。
二、样本分析
近期,火绒发现2345、hao774等多个2345旗下导航站中广告内容带有漏洞攻击代码。通过分析确认,我们初步认定2345旗下导航站被投毒。广告内容涉及浏览器漏洞和Flash漏洞,漏洞代码执行后会从C&C服务器(hxxps:// www.yyakeq.cn)下载执行病毒代码,现阶段火绒发现的病毒代码内容多为盗号病毒。该漏洞攻击只针对特定的推广计费号,再联系其广告内容“高价在线回收所有网游装备/金币”,我们推断此次攻击主要针对对象主要为网络游戏人群,且针对性极强。2345导航站中相关广告内容和相关HTML代码,如下图所示:
2345导航站中相关广告内容和相关HTML代码
从页面代码看,该广告展示代码的植入也非常“奇特”,因为广告展示链接是硬编码在页面代码中的。根据web.archive.org的抓取结果,该广告展示代码应该于2019年3月25日至2019年3月28日期间首次上线,截至本报告撰写时,该代码仍然有效且漏洞和病毒逻辑仍可激活。恶意广告内容为被包含在iframe标签中的广告页面。页面嵌套关系,如下图所示:
病毒页面嵌套调用关系
tj.html中首先会默认加载ad.html利用Flash漏洞进行攻击,之后再根据浏览器的User Agent加载不同的IE漏洞利用代码(banner.html或cookie.html)。相关代码,如下图所示:
页面加载代码
ad.html中的HTML代码中包含有混淆后的JavaScript代码。相关代码,如下图所示:
ad.html中的HTML代码
ad.html中代码会被先后解密两次,最终得到漏洞调用代码,根据漏洞利用代码的调用逻辑,我们可以粗略确认受影响的Flash版本范围为21.0.0.180 至 31.0.0.160之间。相关代码,如下图所示:
最终执行的漏洞攻击相关调用代码
漏洞被触发后,会调用远程HTA脚本会从C&C服务器地址(hxxp://www.ce56b.cn/logo.swf)下载病毒数据到本地进行解密执行,被解密后的病毒数据为下载者病毒。相关进程调用关系,如下图所示:
漏洞触发后的进程调用关系
病毒解密相关代码,如下图所示:
病毒解密代码
banner.html和cookie.html最终也会执行类似的远程HTA脚本最终通过相同的C&C服务器地址下载执行相同恶意代码。相关代码,如下图所示:
解密远程HTA脚本地址
漏洞触发代码
漏洞被触发后,最终被下载执行的下载者病毒会根据C&C服务器返回的配置(hxxp://www.ce56b.cn/tj.txt),下载盗号木马到本地进行执行。存在被盗号风险的软件包括:Steam游戏平台、WeGame游戏平台、腾讯QQ、地下城与勇士、穿越火线、英雄联盟。相关配置,如下图所示:
下载者病毒配置
腾讯QQ、地下城与勇士、穿越火线游戏的盗号木马均为Delphi编写,通过伪造游戏登陆界面,欺骗诱导用户输入游戏账号密码,获取到账号密码会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:
提交账号与密码
英雄联盟、WeGame游戏平台同样也是通过伪造游戏的登陆界面,获取用户的游戏账号和密码,并且账号密码也会发送到远程C&C服务器(hxxp://we.zouxian1.cn)。相关代码,如下图所示:
提交账号与密码
在盗取Steam游戏平台账号密码 时,首先该病毒会释放libsteam.dll到steam目录下,并调用该动态库的导出函数InstallHook 用于安装全局钩子。相关代码,如下图所示:
调用导出函数
该动态库会安装全局钩子,用于将自身注入到steam进程,当注入到steam进程后SteamUI.dll中TextEntry控件相关的函数,用于截取用户的账号密码输入。注入部分代码,如下图所示:
安装全局钩子
HOOK SteamUI.dll用于截获用户的账号密码。HOOK 相关代码,如下图所示:
HOOK SteamUI.dll
被盗取的账号,同样也会发送到远程C&C服务器(hxxp://zouxian1.cn)。相关代码,如下图所示:
提交账号与密码
三、溯源分析
本次报告过程中获取到的可溯源信息包括网马信息和病毒相关信息,下文分块进行溯源分析。
网马溯源
通过对域名yyakeq.cn和ce56b.cn的溯源,发现上述域名分别由名为“武汉跃谱腾科技有限公司”和名为“邵东绿设空间工程设计有限公司”的公司注册,且两公司还注册了至少几千个名称看似毫无含义、近乎随机生成的域名,其中一些域名指向页面包含明显的欺诈内容(如下图所示),所以不排除这些域名是想在未来用作C&C服务的DGA(Dynamic Generation Algorithm)域名。
其中一个域名指向的页面内容
yyakeq.cn域名注册信息
ce56b.cn域名注册信息
部分疑似DGA域名
部分疑似DGA域名
盗号病毒溯源
通过对盗号病毒收集URL的Whois查询,可以得到如下信息:
域名zouxian1.cn注册信息
另外通过该域名注册信息的联系人和联系邮箱反查,此人以同样的命名方式于2018年4月20日共注册了15个近似域名:
域名注册反查结果
另外,通过ICP备案查询发现,其中部分域名还经过了ICP个人备案:
ICP备案查询结果
并且同日(2018年4月20日),此人还用同样的QQ邮箱(2659869342@qq.com)和不同的姓名注册了另外两个形式与前述域名相似的域名,如下图所示:
域名注册反查结果
四、附录
文中涉及样本SHA256:
*本文作者:火绒安全,转载自FreeBuf.COM
何支持开源开发者?捐赠还是广告?多个流行的 NPM JS 库选择了广告。
作者/来源: 安华金和
如何支持开源开发者?捐赠还是广告?多个流行的 NPM JS 库选择了广告。
core-js 的作者通过广告推销自己,而 Standard 的作者则决定在安装时展示广告,这些做法都引发了争议。Standard 是一个 Javascript 风格指南库,每月下载量大约 300 万次,开发者 Feross Aboukhadijeh 表示这是一项实验,旨在找到支持开源开发的可持续方法。他表示,在安装 Standard 14 会展示赞助商的信息,赞助费用直接支付了维护时间,包括新功能、修正、回答用户提问和改进文档。
来源:solidot.org
提升安全性:微软为 Chromium Edge 推出除虫赏金项目外媒报道称,微软已经为基于 Chromium 内核开发的新版 Microsoft Edge 浏览器,推出了一个全新的除虫赏金(bug bounty)项目。如果提交的安全漏洞报告的质量足够高,该公司将给出高达 3 万美金(21.4 万+ RMB)的奖励。
来源:cnBeta.COM
详情链接: https://www.dbsec.cn/blog/article/4979.html
英国网络安全机构督促开发者淘汰 Python 2NCSC 称,如果你维护了一个其他人依赖的库,你可能会阻止其他人更新到 Python 3。如果你无法将代码升级到 Python 3,一个选择是付费给商业公司继续支持 Python 2。NCSC 以勒索软件 WannaCry 举例说明使用不再支持的软件会发生什么。
来源:solidot.org
详情链接: https://www.dbsec.cn/blog/article/4980.html
点餐买电影票都要个人信息 数据收集引发担忧据《南华早报》报道,在深圳,很多时候没有手机应用就消费不了,比如在餐馆要扫码点餐。但如果你不同意分享个人信息,你就无法点餐或买电影票。数据隐私问题正日益引起公众的担忧。一天晚上,王晓旭(Wang Xiaoxu,音译)和朋友们在深圳的一家餐馆吃饭,由于她拒绝通过手机分享个人信息,点餐系统不让她点餐。最后,又饿又沮丧的她和朋友离开。
来源:网易科技
详情链接: https://www.dbsec.cn/blog/article/4981.html
开发者移除 11 个 Ruby 库中 18 个带有后门的版本RubyGems 软件包存储库的维护者近期移除了 11 个 Ruby 库中出现的 18 个恶意版本,这些版本包含了后门机制,可以在使用 Ruby 时启动加密货币挖掘程序。恶意代码最初发现于 4 个版本的 rest-client 库中,rest-client 是一个非常流行的 Ruby 库。
来源:开源中国
详情链接:https://www.dbsec.cn/blog/article/4982.html
(信息来源于网络,安华金和搜集整理)
统会根据微软商店购买及应用程序使用的记录,来显示你可能感兴趣的广告。
关闭方法
依次点击【开始菜单】【设置】【隐私】【常规】,【关闭】“允许应用使用广告ID”。
注意:系统版本不同操作路径可能略有差异。以下同。
Cortana广告
点击搜索框打开Cortana,依次点击【笔记本】【Cortana提示】,【关闭】“提示通知”。
锁屏广告
依次点击【开始】【设置】【个性化】【锁屏界面】,将“背景”切换到【图片】或【幻灯片放映】。
【关闭】 “在锁屏界面上从Windows和Cortana 获取花絮、提示等”。
通知中心广告
桌面右下角的通知中心在显示系统和应用通知之余,有时候也会显示广告建议。
关闭方法
依次点击【开始】【设置】【系统】【通知与操作】,【关闭】“在使用Windows时获取提示、技巧和建议”,还可以对应用程序关闭【获取来自这些发送者的通知】。
开始菜单广告
在开始菜单中右击系统自动推送的应用程序,选择【卸载】。
依次点击【开始】【设置】【个性化】【开始】,【关闭】偶尔在“开始”屏幕中显示建议。后续开始菜单将不再出现推荐软件。
动态磁贴广告
开始菜单右侧的动态磁贴,也会推送应用程序。
关闭方法
和开始菜单一样,可以右击系统自动推送的应用程序,选择【卸载】或者选择【更多】【关闭动态磁贴】。
Windows Ink
Windows Ink作为一款手写工具,有时也会在程序界面推荐应用。
关闭方法
依次点击【开始】【设置】【设备】【笔和Windows Ink】,取消勾选【显示推荐使用的应用】。
浏览器弹窗
搜索打开IE,依次进入【工具】【Internet选项】【隐私】,勾选【启用弹出窗口阻止程序】并点击右侧【设置】。
【添加】要允许的网站地址,并设置“通知和阻止级别”,完成后点击【关闭】并回到“Internet属性”窗口,点击【应用】并【确定】。
网页广告
禁用Cookies
以Internet Explorer 11举例,进入IE【工具】【Internet选项】【隐私】【高级】中设置。
若不想禁用,可以选择清除Cookies
进入IE【工具】【Internet选项】【常规】【删除】【确定】。
Edge网页广告
相比IE11,Edge支持下载第三方扩展插件来关闭网页广告。
依次点击Edge浏览器右上角【…】【扩展】【了解更多的扩展】,跳转进入【Microsoft Store】,在【广告拦截器和密码管理器】中选择喜欢的广告拦截器【免费下载】安装。
网盟推广
在需要停用的浏览器中打开以下网址【http://www.baidu.com/duty/safe_control.html】,并【选择停用】。
—END—
*请认真填写需求信息,我们会在24小时内与您取得联系。
